TL; DR
Absolute Computrace er tækni sem gerir þér kleift að læsa bílnum þínum (og ekki ), jafnvel þó að stýrikerfið hafi verið sett upp aftur á það eða jafnvel skipt um harða diskinn, fyrir $15 á ári. Ég keypti fartölvu á eBay sem var læst með þessu. Greinin lýsir upplifun minni, hvernig ég átti í erfiðleikum með það og reyndi að gera það sama byggt á Intel AMT, en ókeypis.
Við skulum samþykkja strax: Ég er ekki að brjótast inn í opnar dyr og ekki skrifa fyrirlestur um þessa fjarlægu hluti, heldur segja smá bakgrunn og hvernig á að fá fjaraðgang að vélinni þinni fljótt á hnénu við hvaða aðstæður sem er (ef hún er tengd við net í gegnum RJ-45) eða, ef það er tengt í gegnum Wi-Fi, þá aðeins í OS Windows. Einnig verður hægt að skrá SSID, notandanafn og lykilorð tiltekins punkts í Intel AMT sjálft og þá er einnig hægt að fá aðgang í gegnum Wi-Fi án þess að ræsa inn í kerfið. Og líka, ef þú setur upp rekla fyrir Intel ME á GNU/Linux, þá ætti allt þetta að virka á því líka. Þar af leiðandi verður ekki hægt að fjarlæsa fartölvu og birta skilaboð (ég gat ekki fundið út hvort þetta sé jafnvel hægt með þessari tækni), en það verður aðgangur að fjarstýrðu skjáborði og Secure Erase, og þetta er aðalatriðið.
Leigubílstjórinn fór með fartölvuna mína og ég ákvað að kaupa nýja á eBay. Hvað gæti farið úrskeiðis?
Frá kaupanda til þjófa - í einni sjósetningu
Eftir að hafa komið með fartölvu heim af pósthúsinu fór ég að klára foruppsetningu á Windows 10, og eftir það tókst mér meira að segja að hlaða niður Firefox, þegar skyndilega:
Ég skildi vel að enginn myndi breyta Windows dreifingunni og ef svo væri þá myndi allt ekki líta svo klaufalegt út og almennt hefði blokkunin gerst hraðar. Og á endanum væri enginn tilgangur að loka á neitt, þar sem allt væri læknað með því að setja það upp aftur. Allt í lagi, við skulum endurræsa.
Endurræstu í BIOS og nú verður allt aðeins skýrara:
Og að lokum er það alveg ljóst:
Hvernig stendur á því að mín eigin fartölva er að angra mig? Hvað er Computrace?
Strangt til tekið er Computrace sett af einingum í EFI BIOS þínum sem, eftir að hafa hlaðið OS Windows, setur Tróverji þeirra inn í það, bankar á ytri Absolute hugbúnaðarþjóninn og leyfir, ef nauðsyn krefur, að loka fyrir kerfið í gegnum internetið. Þú getur lesið frekari upplýsingar hér . Computrace virkar ekki með öðrum stýrikerfum en Windows. Þar að auki, ef við tengjum drif við Windows dulkóðað af BitLocker, eða öðrum hugbúnaði, þá mun Computrace ekki virka aftur - einingarnar munu einfaldlega ekki geta kastað skrám sínum inn í kerfið okkar.
Í fjarlægð getur slík tækni virst kosmísk, en aðeins þar til við komumst að því að allt þetta er gert á innfæddum UEFI með því að nota eina og hálfa vafasama einingu.
Þetta virðist kalt og almáttugur þar til við reynum til dæmis að ræsa inn í GNU/Linux:
Þessi fartölva er með Computrace læsingu virka núna.
Eins og orðatiltækið segir,
Hvað á að gera?
Það eru fjórir augljósir vektorar til að leysa vandamálið:
- Skrifaðu til seljanda á eBay
- Skrifaðu til Absolute hugbúnaðar, skapara og eiganda Computrace
- Búðu til dump úr BIOS flögunni, sendu það til skuggalegra tegunda þannig að þær sendu til baka dump með plástri sem slekkur á öllum læsingum og valmyndir auðkenni tækisins
- Hringdu í Lazard
Við skulum skipta þeim niður í röð:
- Við, eins og allir skynsamir menn, skrifum fyrst til seljanda sem seldi okkur slíka vöru og ræðum vandann við þann sem ber höfuðábyrgð á því.
Gert:
- Samkvæmt ráðgjafa sem uppgötvaðist í djúpum internetsins,
Þú þarft að hafa samband við algjöran hugbúnað. Þeir vilja raðnúmer vélarinnar og raðnúmer móðurborðsins. Þú þarft einnig að leggja fram „sönnun fyrir kaupum“, eins og kvittun. Þeir munu hafa samband við eigandann sem þeir hafa á skrá og fá í lagi til að fjarlægja það. Að því gefnu að því sé ekki stolið munu þeir þá „merkja það til að eyða“. Eftir það, næst þegar þú tengist internetinu eða ert með opna nettengingu, gerist kraftaverk og það verður horfið. Sendu dótið sem ég nefndi til [netvarið].
við getum skrifað beint til Absolute og haft beint samband við þá um opnun. Ég tók mér tíma og ákvað að grípa til þessarar lausnar aðeins undir lokin.
- Sem betur fer var grimm lausn á vandanum þegar til staðar. Þessir og margir aðrir tölvustuðningssérfræðingar á sama eBay og jafnvel Indverjar á Facebook lofa okkur að opna BIOS okkar ef við sendum þeim sorp og bíðum í nokkrar mínútur.
Aflæsingarferlinu er lýst sem hér segir:
Opnunarlausn er loksins fáanleg og krefst þess að SPEG forritari geti flassað BIOS.
Ferlið er:
- Að lesa BIOS og búa til gilt sorphaugur. Í Thinkpad er BIOS kvæntur innri TPM flögunni og inniheldur einstaka undirskrift þess, svo það er mikilvægt að upprunalega BIOS sé rétt lesið til að árangur af allri aðgerðinni gangi og til að endurheimta BIOS eftir það.
- Pjatla BIOS tvíþættina og sprauta öllu smallservice.ro UEFI forriti. Þetta forrit mun lesa örugga eeprom, endurstilla TPM vottorð og lykilorð, skrifa örugga eeprom og endurbyggja öll gögn.
- Skrifaðu pjattaða BIOS dumpið (þetta mun aðeins virka í þeim TP btw), ræstu fartölvuna og búðu til vélbúnaðarauðkenni. Við munum senda þér einstakan lykil sem mun virkja Allservice BIOS, á meðan BIOS er að hlaða mun það framkvæma opnunarrútínuna og opna SVP og TPM.
- Að lokum skaltu skrifa upprunalega BIOS dumpið til baka fyrir venjulega aðgerð og njóta fartölvunnar.
Við getum líka slökkt á Computrace eða breytt SN/UUID og endurstillt RFID checksum villu með því að nota UEFI forritið okkar á sama hátt, ef þörf krefur
Opnunarþjónustuverð er á vél (eins og við gerum fyrir Macbook/iMac, HP, Acer, osfrv.) Fyrir þjónustuverð og framboð vinsamlegast lestu næstu færslu hér að neðan. Þú getur haft samband [netvarið] fyrir hvers kyns fyrirspurn.
Finnst lögmætt! En þetta er líka, af augljósum ástæðum, valkostur fyrir mest örvæntingarfullar aðstæður, og að auki kostar allt gamanið $80. Við látum það bíða síðar.
- Ef Lazard hefur brotið allt fyrir mig og biður mig um að hringja til baka, þá ættirðu ekki að neita! Við skulum fara að vinna.
Við köllum Lazard aka „leiðandi fjármálaráðgjafa- og eignastýringarfyrirtæki í heimi, ráðgjafar um samruna, yfirtökur, endurskipulagningu, fjármagnsuppbyggingu og stefnumótun“
Á meðan seljandinn frá eBay svarar, þá kasta ég nokkrum krónum á zadarma og hlakka til að eiga samskipti við kannski sálarlausasta viðmælanda jarðarinnar - stuðning risastórs fjármálafyrirtækis frá New York. Stúlkan tekur upp símann í skyndi, hlustar á félaga minn ensku á hógværar útskýringar á því hvernig ég keypti þessa fartölvu, skrifar niður raðnúmer hennar og lofar að gefa það til stjórnenda sem hringja í mig aftur. Þetta ferli er endurtekið nákvæmlega tvisvar, með eins dags millibili. Í þriðja skiptið beið ég viljandi þangað til klukkan var 10 að kvöldi í New York og hringdi og las fljótt upp kunnuglega pastað um kaupin mín. Tveimur tímum síðar hringdi sama konan í mig aftur og byrjaði að lesa upp leiðbeiningar:
— Smelltu á flýja.
Ég smelli en ekkert gerist.
— Eitthvað virkar ekki, ekkert breytist.
- Ýttu á.
- Ég ýti á.
— Sláðu nú inn: 72406917
Ég er að fara inn. Ekkert gerist.
- Veistu, ég er hræddur um að þetta muni ekki hjálpa... Bara smá stund...
Fartölvan endurræsir sig skyndilega, kerfið ræsist, pirrandi hvíti skjárinn er horfinn einhvers staðar. Til að vera viss fer ég inn í BIOS, Computrace er ekki virkjað. Það virðist vera það. Þakka þér fyrir stuðninginn, ég skrifa til seljanda að ég hafi leyst öll vandamál sjálfur og slaka á.
OpenMakeshift Computrace Intel AMT byggt
Það sem gerðist olli mér vonbrigðum, en mér leist vel á hugmyndina, draugaverkur minn yfir því sem var týndur í meðallagi var að leita að einhverri leið út, ég vildi vernda nýju fartölvuna mína, eins og hún myndi gefa mér þá gömlu til baka. Ef einhver er að nota Computrace, þá get ég notað það líka, ekki satt? Enda var Intel Anti-Theft, samkvæmt lýsingunni - frábær tækni sem virkar eins og hún á að gera, en hún var drepin af tregðu markaðarins, en það verður að vera valkostur. Það kom í ljós að þessi valkostur hófst á sama stað og hann endaði - aðeins Absolute hugbúnaður gat haslað sér völl á þessu sviði.
Fyrst skulum við muna hvað Intel AMT er: þetta er safn af bókasöfnum sem er hluti af Intel ME, innbyggt í EFI BIOS, þannig að stjórnandi á einhverri skrifstofu getur, án þess að standa upp úr stólnum, stjórnað vélum á netinu, jafnvel þó að þeir ræsist ekki, tengja fjartengingar ISO, stjórna í gegnum ytra skjáborð osfrv.
Allt þetta keyrir á Minix og á um það bil þessu stigi:
Invisible Things Lab lagði til að kalla virkni Intel vPro / Intel AMT tækni verndarhring -3. Sem hluti af þessari tækni innihalda kubbasett sem styðja vPro tækni sjálfstæðan örgjörva (ARC4 arkitektúr), hafa sérstakt viðmót við netkortið, einkaaðgang að sérstökum hluta vinnsluminni (16 MB) og DMA aðgang að aðalvinnsluminni. Forrit á því eru keyrð óháð miðlægum örgjörva; vélbúnaðinn er geymdur ásamt BIOS kóða eða á svipuðu SPI flassminni (kóðinn er með dulmálsundirskrift). Hluti af vélbúnaðinum er innbyggður vefþjónn. Sjálfgefið er að AMT sé óvirkt, en einhver kóði keyrir enn í þessum ham jafnvel þegar AMT er óvirkt. Hringkóði -3 er virkur jafnvel í S3 Sleep Power ham.
Þetta hljómar freistandi, vegna þess að það virðist sem ef við getum komið á öfugri tengingu við eitthvert stjórnborð með Intel AMT, munum við ekki geta haft aðgang verri en Computrace (reyndar ekki).
Við virkjum Intel AMT á vélinni okkar
Fyrst, sum ykkar myndu líklega vilja snerta þennan AMT með eigin höndum, og hér byrja blæbrigðin. Í fyrsta lagi: þú þarft örgjörva sem styður það. Sem betur fer eru engin vandamál með þetta (nema þú sért með AMD), því vPro er bætt við næstum alla Intel i5, i7 og i9 örgjörva (þú getur séð ) síðan 2006 og venjulegur VNC var fluttur þangað þegar árið 2010. Í öðru lagi: ef þú ert með borðtölvu, þá þarftu móðurborð sem styður þessa virkni, nefnilega með Q-kubbasettinu. Í fartölvum þurfum við aðeins að vita gerð örgjörva. Ef þú finnur stuðning fyrir Intel AMT, þá er þetta gott merki og þú munt geta beitt stillingunum sem fæst hér. Ef ekki, þá annaðhvort varstu óheppinn/þú valdir vísvitandi örgjörva eða kubbasett án stuðnings fyrir þessa tækni, eða þú sparaðir peninga með því að velja AMD, sem er líka gleðiefni.
Samkvæmt skjölum
Í óöruggri stillingu hlusta Intel AMT tæki á höfn 16992.
Í TLS ham hlusta Intel AMT tæki á höfn 16993.
Intel AMT tekur við tengingum á höfnum 16992 og 16993. Færum okkur þangað.
Þú þarft að athuga hvort Intel AMT sé virkt í BIOS:
Næst þurfum við að endurræsa og ýta á Ctrl + P meðan á hleðslu stendur
Staðlað lykilorð, eins og venjulega, Admin.
Breyttu lykilorðinu strax í Intel ME General Settings. Næst, í Intel AMT Configuration, virkjaðu Virkja netaðgang. Tilbúið. Þú ert nú opinberlega bakdyramegin. Við erum að hlaða inn í kerfið.
Nú er mikilvægur blæbrigði: rökrétt getum við fengið aðgang að Intel AMT frá localhost og fjarlægt, en nei. Intel segir að þú getir tengst á staðnum og breytt stillingum með því að nota , en fyrir mig neitaði það algjörlega að tengjast, þannig að tengingin mín virkaði aðeins í fjartengingu.
Við tökum eitthvað tæki og tengjumst í gegnum : 16992
Það lítur svona út:
Velkomin í staðlaða Intel AMT viðmótið! Af hverju "staðall"? Vegna þess að það er stytt og algjörlega gagnslaust í okkar tilgangi, og við munum nota eitthvað alvarlegra.
Að kynnast MeshCommander
Eins og venjulega gera stór fyrirtæki eitthvað og endanotendur breyta því til að henta þeim sjálfum. Það sama gerðist hér.
Þessi hógværi (engar ýkjur: nafnið hans er ekki á vefsíðunni hans, ég varð að gúgla það) maður að nafni Ylian Saint-Hilaire hefur þróað frábær verkfæri til að vinna með Intel AMT.
Mig langar strax að vekja athygli þína á honum , í myndböndum sínum sýnir hann einfaldlega og greinilega í rauntíma hvernig á að framkvæma ákveðin verkefni sem tengjast Intel AMT og hugbúnaði þess.
Við skulum byrja . Hladdu niður, settu upp og reyndu að tengjast vélinni okkar:
Ferlið er ekki samstundis, en fyrir vikið munum við fá þennan skjá:
Það er ekki það að ég sé vænisjúkur, en ég mun eyða viðkvæmum gögnum, fyrirgefðu mér fyrir slíka kúgun
Munurinn, eins og þeir segja, er augljós. Ég veit ekki hvers vegna Intel stjórnborðið hefur ekki slíka virkni, en staðreyndin er sú að Ylian Saint-Hilaire fær umtalsvert meira út úr lífinu. Þar að auki geturðu sett upp vefviðmót þess beint inn í vélbúnaðinn, það gerir þér kleift að nota allar aðgerðir án tóla.
Þetta er gert eins og þetta:
Ég skal hafa í huga að ég hef ekki notað þessa virkni (Sérsniðið vefviðmót) og get ekki sagt neitt um virkni þess og frammistöðu, þar sem það er ekki krafist fyrir mínar þarfir.
Þú getur leikið þér með virknina, það er ólíklegt að þú eyðileggur allt, því upphafs- og lokapunktur allrar hátíðarinnar er BIOS, þar sem þú getur síðan endurstillt allt með því að slökkva á Intel AMT.
Settu upp MeshCentral og innleiddu BackConnect
Og hér hefst algjört höfuðfall. Frændi minn bjó ekki aðeins til viðskiptavin, heldur líka heilt stjórnborð fyrir Trójuverið okkar! Og hann gerði það ekki bara, heldur .
Byrjaðu með því að setja upp þinn eigin MeshCentral netþjón eða ef þú þekkir ekki MeshCentral geturðu prófað opinbera netþjóninn á eigin ábyrgð á MeshCentral.com.
Þetta talar jákvætt um áreiðanleika kóðans þar sem ég gat ekki fundið neinar fréttir um hakk og leka meðan á þjónustunni stóð.
Persónulega keyri ég MeshCentral á þjóninum mínum vegna þess að ég trúi því á óeðlilegan hátt að hann sé áreiðanlegri, en það er ekkert í honum nema hégómi og andstyggi. Ef þú vilt líka, þá það eru skjöl og ílát með MeshCentral. Skjölin lýsa því hvernig á að tengja þetta allt saman í NGINX, svo útfærslan mun auðveldlega fella inn í heimaþjónana þína.
Skráðu þig á , farðu inn og búðu til tækjahóp með því að velja „enginn umboðsmaður“ valkostinn:
Af hverju "enginn umboðsmaður"? Því hvers vegna þurfum við það til að setja upp eitthvað óþarft, það er ekki ljóst hvernig það hegðar sér og hvernig það mun virka.
Smelltu á „Bæta við CIRA“:
Sæktu cira_setup_test.mescript og notaðu það í MeshCommander okkar svona:
Voila! Eftir nokkurn tíma mun vélin okkar tengjast MeshCentral og við getum gert eitthvað við hana.
Í fyrsta lagi: þú ættir að vita að hugbúnaðurinn okkar mun ekki banka á ytri netþjón bara svona. Þetta er vegna þess að Intel AMT hefur tvo möguleika til að tengjast - í gegnum ytri netþjón og beint á staðnum. Þeir virka ekki á sama tíma. Handritið okkar hefur þegar stillt kerfið fyrir fjarvinnu, en þú gætir þurft að tengjast á staðnum. Til þess að þú getir tengst á staðnum þarftu að fara hingað
skrifaðu línu sem er staðarlénið þitt (athugaðu að handritið okkar hefur ALLTAF sett inn einhverja handahófskennda línu þar svo hægt sé að koma tengingunni á fjarstýringu) eða hreinsaðu allar línur alveg (en þá verður fjartengingin ekki tiltæk). Til dæmis er staðbundið lén mitt í OpenWrt lan:
Í samræmi við það, ef við förum inn lan þar, og ef vélin okkar er tengd við net með þessu staðbundna léni, þá verður fjartengingin ekki tiltæk, en staðbundin höfn 16992 og 16993 opnast og samþykkja tengingar. Í stuttu máli, ef það er einhvers konar vitleysa sem tengist ekki staðbundnu léninu þínu, þá er hugbúnaðurinn að bila, ef ekki, þá þarftu að tengjast honum sjálfur í gegnum vír, það er allt.
Í öðru lagi:
Allt er tilbúið!
Þú gætir spurt - hvar er AntiTheft? Eins og ég sagði í upphafi er Intel AMT ekki mjög hentugur til að berjast við þjófa. Það er kærkomið að hafa umsjón með skrifstofuneti, en það er ekki svo sérstakt að berjast við einstaklinga sem hafa eignast eignir með ólögmætum hætti í gegnum netið. Við skulum íhuga verkfærakistu sem fræðilega getur hjálpað okkur í baráttunni fyrir séreign:
- Í sjálfu sér er ljóst að þú hefur aðgang að vélinni ef hún er tengd í gegnum snúru eða, ef Windows er uppsett á henni, þá í gegnum WiFi. Já, það er barnalegt, en það er nú þegar mjög erfitt fyrir venjulegan mann að nota slíka fartölvu, jafnvel þótt einhver taki allt í einu við stjórninni. Þar að auki, þrátt fyrir að ég hafi ekki fundið út forskriftirnar, er vissulega hægt að hanna einhverja virkni á listrænan hátt til að loka á/birta tilkynningar á þeim.
- Örugg fjarstýring með Intel Active Management tækni
Með því að nota þennan valkost geturðu eytt öllum upplýsingum úr vélinni á nokkrum sekúndum. Það er ekki ljóst hvort það virkar á SSD diskum sem ekki eru frá Intel. Hérna Þú getur lesið meira um þessa aðgerð. Þú getur dáðst að verkinu . Gæðin eru hræðileg, en aðeins 10 megabæti og kjarninn er skýr.
Vandamálið við frestað framkvæmd er enn óleyst, með öðrum orðum: þú þarft að fylgjast með þegar vélin fer inn á netið til að tengjast henni. Ég tel að það sé einhver lausn á þessu líka.
Í fullkominni útfærslu þarftu að loka fyrir fartölvuna og sýna einhvers konar áletrun, en í okkar tilfelli höfum við einfaldlega óumflýjanlegan aðgang og hvað á að gera næst er ímyndunaraflið.
Kannski muntu einhvern veginn geta lokað bílnum eða að minnsta kosti birt skilaboð, skrifaðu ef þú veist það. Þakka þér fyrir!
Ekki gleyma að setja lykilorð fyrir BIOS.
Takk notandi fyrir prófarkalestur!
Heimild: www.habr.com